Autentykacja, jak ją zabezpieczyć Opcje

[Daniel 2006]

witam

Napisałem sobie skrypt, który dokonuje autentykacji. Skrypt porównuje login i hasło które są zawarte w bazie danych następnie danego urzytkownika przekierowywuje na daną stronę.

oto skrypt cały:

[HTML] pobierz, plaintext 
<html>
<head>
<meta http-equiv="Content-type" content="text/html; charset=iso-8859-2">
 
<style>
 BODY { font-family : Times New Roman; font-size: 16pt; COLOR: #000000}
  TD   { font-family : Verdana; }
  A    { text-decoration : none}
  A:link {COLOR: #006699; TEXT-DECORATION: none} 
  A:visited {COLOR: #006699; TEXT-DECORATION: none} 
  A:active {COLOR: #006699; TEXT-DECORATION: none} 
  A:hover {COLOR: #00FF00; TEXT-DECORATION: none}
</style>
 
<style type="text/css">
<!--
body {
   BACKGROUND: #FFFFF3; 
 
	margin-left: 0px;
	margin-top: 0px;
	margin-right: 0px;
	margin-bottom: 0px;
}
-->
</style>
<LINK REL="SHORTCUT ICON" href="ikona.jpg">
</head>
<body>
 
<center>
<br><br><br>
<form action="index.php" method="post">
<font size="5">Login: </font><input type="text" name="loginf" size="30"> <br><br>
 
<font size="5">Hasło: </font><input type="text" name="haslof" size="30"> <br><br>
<input type="submit" value="Zaloguj" >
 
<?
if ($loginf=="" and $haslof=="")
{
echo "<br><br>";
echo "<font color = 'red' size = '5'>Uzupełnij pole Login i Hasło</font>";
}
else
{
if ($loginf=="" ) 
{
echo "<br><br>";
echo "<font color = 'red' size = '5'>Uzupełnij pole Login</font>";
}
else
{
if ($haslof=="" ) 
{
echo "<br><br>";
echo "<font color = 'red' size = '5'>Uzupełnij pole Hasło</font>";
}}}
 
if ($loginf and $haslof != "")
{
$baza = "user";
$tabela = "klienci";
$connection = @mysql_connect("localhost", root, "krasnal") or die ("Blad logowania na serwer mysql");
$wybierz = mysql_select_db($baza, $connection) or die ("Podana baza nie istnieje");
$pokaz = "select login, haslo from klienci where login like\"$loginf\" and haslo like\"$haslof\"";
 
$sprawdz = mysql_query($pokaz, $connection) or die ("Blad !");
 
$wiersz = mysql_fetch_array($sprawdz);
 
$val1 = $wiersz['login'];
$val2 = $wiersz['haslo'];
 
if ($val1 == $loginf and $val2 == $haslof) 
{
if ($val1 == aaa)
{
echo "<META HTTP-EQUIV=\"Refresh\" CONTENT=\"0;URL=http://localhost/test/user1.php\">";
}
if ($val1 == ccc)
{
echo "<META HTTP-EQUIV=\"Refresh\" CONTENT=\"0;URL=http://localhost/test/user2.php\">";
}}
else
{
echo "<br><br>";
echo "<font color = 'red' size = '5'><center>Logowanie nie powiodło się, sprawdź Login i Hasło </center></font>";
}}
?>
 
</center>
</form>
</body>
</html>
[HTML] pobierz, plaintext 

Skrypt działa tak jak trzeba, ale jest jeden problem (IMG:http://forum.php.pl/style_emoticons/default/mad.gif) mianowicie po udanej autentykacji użytkownik jest przekierowywany na strone np: http://localhost/test/user1.php i wszystko ok ale następnym razem może ktoś może wpisać do przeglądarki link http://localhost/test/user1.php i znajdzie się na stronie bez logowania (IMG:http://forum.php.pl/style_emoticons/default/ohmy.gif)
oczywiście początek http://localhost/ podałem dla przykładu

Jak zabezpieczyć coś takiego aby dostęp do strony np: http://localhost/test/user1.php był dostępny tylko przez przejście przez logowanie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)


z góry dzięki
pozdrawiam Daniel

[My4tic]

Możesz użyć sesji. Po udanym logowaniu ustawiasz w sesji status usera na TRUE. Na stronach, które mają być dostępne wyłącznie dla zalogowanych sprawdzasz czy:

[PHP] pobierz, plaintext 
<?php
if ( $_SESSION['bUserStatus'] == TRUE ) {...} // wyświetl content
else {...} // logowanie
?>
[PHP] pobierz, plaintext 

http://pl.php.net/manual/pl/ref.session.php" title="Zobacz w manualu php" target="_manual

Btw.
Chyba autoryzacja a nie 'autentykacja'... (IMG:http://forum.php.pl/style_emoticons/default/rolleyes.gif)

[Daniel 2006]

ok, tyle że coś mi nie działa

w kodzie dodaje :

[HTML] pobierz, plaintext 
if ($val1 == aaa)
{
 
$_SESSION['bUserStatus'] = True;
 
echo "<META HTTP-EQUIV=\"Refresh\" CONTENT=\"0;URL=http://localhost/test/user1.php\">";
}
[HTML] pobierz, plaintext 

w pliku user1.php dodaję :

[HTML] pobierz, plaintext 
<?php
if ( $_SESSION['bUserStatus'] == TRUE ) 
{
 
} 
else
{
 
}
?>
 
<center>
<h1> Private user 1 </h1>
</center>
[HTML] pobierz, plaintext 

Jak się loguję to wsytko działa ale nadal można obejrzeć stronę wpisując do przeglądarki link strony user1 (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

[My4tic]

Powinni tu biczować za nie czytanie linków, które sie dostaje w odpowiedzi na pytanie. (IMG:http://forum.php.pl/style_emoticons/default/mad.gif)

Wiesz jak działają sesje? Jeśli nie to przeczytaj link, który podałem we wcześniejszej poście. Jeśli Ci sie nie chce to poszukaj sobie gotowego skryptu i oszczędz ludziom troche zdrowia.

[Daniel 2006]

och wybacz,
linka już czytam, z php dopiero zaczynam więc stąd ta niewiedza dlatego kolejny raz poprosiłem o poprawkę.

Ten post edytował Daniel 2006 7.09.2006, 20:26:34

[macbirdie]

Btw.
Chyba autoryzacja a nie 'autentykacja'... (IMG:http://forum.php.pl/style_emoticons/default/rolleyes.gif)

Właściwe tłumaczenie "autentykacji", to "uwierzytelnianie", a autoryzacja to autoryzacja. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[My4tic]

Właściwe tłumaczenie "autentykacji", to "uwierzytelnianie", a autoryzacja to autoryzacja. (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Jakie tłumaczenie? Takiego słowa nie ma w języku polskim.

Słownik

Robimy 'mały' (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) OT więc lepiej z tym skończyć.